（通信与信息系统专业论文）ctcs3中aes算法研究与软件实现.pdf

中文摘要 摘要： c t c s - 3 级列控系统( c h i n e s et r a i nc o n t r o ls y s t e m - 3 ) 是铁路科技发展“十 一五”规划中具有全局性、战略性、前瞻性的十项重大专项之一，是提高中国 铁路运输能力的保障。c t c s - 3 系统安全通信的关键因素之一是所采用的d e s 算法 的安全性能。但是d e s 算法存在在弱密钥等方面的安全隐患而a e s 算法在安全性 上远远优于d e s 算法，因此采用a e s 算法代替d e s 算法保障c t c s - 3 安全通信就显 得非常必要。 首先，本文概要地介绍了c t c s - 3 安全通信，分析总结了c t c s - 3 传输网络以及 自身的安全隐患，指出d e s 算法的安全性是保障c t c s - 3 系统安全的重要条件之一。 对比d e s 算法，论述了a e s 算法的优越性以及研究c t c s - 3 系统中a e s 的意义。 其次，在介绍a e s 算法基本原理的基础上，主要讨论a e s 优化实现方案。本章 描述所采用的软件实现的模块图。基于加密解密模块的相关性，采用a e s 加密、 解密模块集成共用，降低实现成本。同时采用a e s 对偶密码等效实现方法和结合 基于g f ( 2 2 ) 求g f ( 2 8 ) 元素逆的有限域扩张思想所改进的s u b b y t e 变换，降低了a e s 算法实现复杂度。本文还讨论在有限域上求逆的3 种不同方法及其适用范围以及 有限同构域间映射关系的求法。 最后，讨论了a e ss 盒的马尔可夫性，指出s 盒迭代循环周期较短的缺点。介 绍了两种求迭代循环周期为2 5 6 的a e ss 盒：穷举法和简易求法优缺点。简易求 法采用交换真值表部分元素位置，设计循环迭代周期为2 5 6 的新a e ss 盒。结合 有限域g f ( 2 8 ) 上的性质，简化拉格朗曰差值公式，进而更快速而准确地求出优化 后s 盒的代数表达式。对优化后的s 盒进行雪崩测试和差分测试验证优化后的s 盒密码特性没有改变。 关键词：中国列控系统第3 级；高级加密标准；s 盒；拉格朗日差值公式；马尔可夫性 分类号： a bs t r a c t a b s t r a c t ：c t c s 一3l e v e lt r a i nc o n t r o ls y s t e m ( c h i n e s et r a i nc o n t r o l s y s t e m 一3 ) i so n eo ft h et e nm a j o ro v e r a l l ，s t r a t e g i ca n df o r w a r d - l o o k i n gp r o j e c t si n ”t h e e l e v e n t hf i v e - y e a rd e v e l o p m e n tp l a nf o rr a i l w a yt e c h n o l o g y , w h i c hc a ni m p r o v e c h i n a sr a i l w a yt r a n s p o r t a t i o ns a f e t y s e c u r i t yf e a t u r e so fd e sa l g o r i t h mu s e di nt h c t c s 一3s y s t e mi so n eo ft h ek e yf a c t o r st og u a r a n t e et h es a f e t yc o m m u n i c a t i o ni n c t c s 一3 d u et ot h ew e a kk e yp r o b l e mo fd e sa l g o r i t h ma n da e sa l g o r i t h mi sf a r b e t t e rt h a nt h ed e sa l g o r i t h mi nt h es a f e t ya s p e c t s ，s oi t s n e c e s s a r yt ou s ea e s a l g o r i t h mi nc t c s 一3i n s t e a do f d e s f i r s to fa l l ，t h ec t c s 一3s a f e t yc o m m u n i c a t i o n si si n t r o d u c e db r i e f l y a n da n a l y s i s o ft h et r a n s m i s s i o nn e t w o r ko fc t c s - 3a sw e l la ss e c u r i t yr i s k so fc t c s 3i sc a r r i e d o u ta n dw ef i n do u tt h a tt h ed e sa l g o r i t h mi so n eo ft h em o s ti m p o r t a n c ei s s u e sf o rt h e c t c s - 3s a f t e yc o m m u t i n c a t i o n c o m p a r e dw i t hd e s a l g o r i t h m ，t h ea d v a n t a g e so fa e s a l g o r i t h ma r ed e s c r i b e da sw e l la st h es i g n i f i c a n c eo fa e ss t u d y s e c o n d l y ，t h eb a s i cp r i n c i p l e so fa e sa l g o r i t h ma r ei n t r o d u c e d a n dw ef o c u so n t h ei m p r o v e di m p l e m e n ts c h e m eo fa e sa l g o r i t h m d u et ot h er e l a t i v i t yo ft h e e n c r y p t i o na n dd e c r y p t i o n ，t h ei n t e g r a t e dd e s i g no ft h e mi si n t r o d u c e d a tt h es a m et i m e ， t h eu s eo fd u a la e sa n dt h en e ws u b b y t et r a n s f o r m a t i o nb a s e so nt h ee x p a n s i o no ft h e l i m i t e dd o m a i nc a na l s or e d u c et h ec o s to fa e si m p l e m e n t c o m p a r et h et h r e ek i n d so f d i f f e r e n tw a y st oc a l c u l a t et h ei n v e r s i o no fe l e m e n t si nt h ef i n i t ef i e l da n ds u m m a r i z e s a p p l i c a b l e r u l e so ft h et h r e ek i n d so fm e t h o d s a n dm a p p i n gb e t w e e nt h ef i n i t e i s o m o r p h i s mf i e l d si sa l s oa n a l y z e d f i n a l l y ，t h em a r k o vf e a t u r eo fa e ss - b o xi sa n a l y z e da n dt h ew e a k n e s so ft h e i t e r a t i v es h o r tc y c l ei sp o i n t e do u t e x h a u s t i v em e t h o da n ds i m p l em e t h o dt of i n dt h e a e ssb o xw h o s ec y c l ei s2 5 6a r ed i s c u s s e d s i m p l em e t h o di st os w i t c ht h ep o s i t i o no f s o m ee l e m e n t si nt h et r u t ht a b l e m a k i n gu s eo ft h ec a l c u l a t i o nr u l ei nt h ef i n i t ef i e l d ， l a g r a n g i a nf o r m u l a i s s i m p l i f i e d t o g e ta l g e b r a i ce x p r e s s i o no ft h es - b o x t h e a v a l a n c h et e s t i n ga n dd i f f e r e n c et e s t i n go ft h eo p t i m i z a t i o ns - b o xa r ec a r r i e do u ta n di t s c r y p t o g r a p h yf e a t u r e sr e m a i nt h es a m e k e y w o r d s ：c t c s - 3 ；a e s ；s - b o x ；l a g r a n g i a nf o r m u l a ；m a r k o v c l a s s n o ： 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：签字日期：年月日 6 1 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。 同意学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 一躲徐毒 聊躲 签字日期：a y l 年6 月( 7 日 纭彬尹 签字日期：九叩年b 月f 孑日 致谢 本论文的工作是在我的导师张小津教授的悉心指导下完成的，张小津教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢三年来 张小津老师对我的关心和指导。 丁建文和蒋文怡老师悉心指导我们完成了实验室的科研工作，在学习上和生 活上都给予了我很大的关心和帮助，在此向丁建文和蒋文怡老师表示衷心的谢意。 杨焱教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷心 的感谢。 在实验室工作及撰写论文期间，实验室里同学对我论文研究工作给予了热情 帮助，在此向他们表达我的感激之情。 另外也感谢家人，他们的理解和支持使我能够在学校专心完成我的学业。 1 引言 c t c s 一3 级列控系统( c h i n e s et r a i nc o n t r o ls y s t e m - 3 ) 是铁路科技发展“十 一五”规划中具有全局性、战略性、前瞻性的十项重大专项之一，是提高中国 铁路运输能力的保障。 c t c s 一3 是基于轨道电路和无线通信系统( g s m - r ) 的a t p 系统。g s m - r 通过标 准的g s m 承载业务来传输从固定自动控制端到移动自动控制端的数据，为地面a t c 控制中心和车载a t c 之间的数据传输提供安全的无线传输通道。因此需要对 c t c s 一3 数据传输网络( g s m - r ) 安全进行分析，从而进一步提高列车运行安全性。 1 1c t c s 3 数据传输网络( g s m r ) 安全性分析 目前对g s m r 的安全问题研究的不是很多，仅仅停留在分析现有的安全技术 上，并没有提出改进拉，或提出的解决方案也基本上是完全借鉴了其他通信系统的 安全策略。 g s m 系统是第一个具有全面的安全特性的移动通信系统，而g s m - r 系统借鉴和 保留了g s m 系统的基本技术和系统结构，所以其安全性能也得到了一定的保证。 为实现通信的安全行，g s m - r 主要采用了一下5 个方面技术对策。 1 ) 对用户识别码( i m s i ) 采用临时识别码( t m s i ) 保护，使第三方无法在无 线信道上跟踪用户。 2 ) 网络接入方面采用了用户认证来防止未授权的接入，保证用户身份不被假 冒。 3 ) 无线路径上采用对通信信息加密防止在无线信道上用户信息被窃听，保护 用户的隐私。 4 ) 对移动设备采用设备识别( i m e i ) 。 5 ) 以独立于终端的硬件设备( s i m 卡) 作为安全模块，管理用户的各种信息， 增强了安全性，并对s i m 卡使用p i n 码和p u k 码进行安全防范。 由于g s m 系统在安全设计上不完善，随着技术的发展，g s m - r 系统中的安全也 将逐渐暴露出来。 1 ) g s m - r 系统中的加密不是端到端的，加密功能没有延伸到核心网络，只是在 无线信道部分即m s 和b t s 之间的u m 接口进行加密，从基站到基站之间的 传输链路中用户信息和信令数据等均以明文方式传输，这给攻击者，特别 是网络内部人员进行攻击提供了机会。 2 ) g s m - r 系统中认证是单向的，只有网络对移动台的认证，而移动台并不对网 络进行身份验证，所有存在安全漏洞。这种认证方式无法抵御主动攻击， 对于中间人攻击和假基站攻击是很难进行预防的，导致可能是用户的敏感 信息被窃取或无法正常的访问网络资源h 副。 1 2c t c s 3 系统安全协议栈介绍 c t c s - 3 系统引入了无线控车的概念，采用g s m - r 无线通信系统传输有关列车控 制的至关重要的安全信息，因此，c t c s - 3 系统采用安全通信的概念，车载设备和 地面r b c 设备的无线通信模块要采用安全协议栈，即在安全应用( 列控应用) 与通 信功能模块之间加入安全层1 。 与安全相关的 。 l应用过程应用过程 i i1 协议数据单元i i 通信系统 r7 l 通信系统 ( 。洲 ) 图1 - 1c t c s - 3 安全协议栈 f i g u r e1 1s a f e t yp r o t o c o ls t a c k 如图卜1 所示，安全功能模块提供安全连接的建立及在连接期间安全数据的传 输业务。安全连接建立期间执行对等实体认证的安全程序，以保证用户的合法性。 同时，为了保护列控数据传输的完整性，c t c s - 3 数据传输采用d e s ( d a t ae n c r y p t i o n s t a n d a r d ) 算法进行加密。 安全层实现与安全相关的功能。与安全相关的信息要在非安全的底层传输， 此时由安全层负责其数据安全。安全层分为e r 安全层( e rs l ) 和安全应用媒介 子层( s a i ) 。 1 2 1s a i 之间安全通信的建立过程 s a i 之间安全通信的建立过程可描述如下：首先在s a i 层发起连接请求 ( s a i c o n n e c tr e q u e s t ) ，被p q s a i 实体将连接请求通知其s a i 用户( s a i - c o n n e c t 2 i n d i c a t i o n ) ，该s a i 用户接受连接请求后响应其s a i 实体( s a i c o n n e c tr e s p o n s e ) 。 最后，发起请求的s a i 实体将连接成功的消息通知其s a i 用户( s a i c o n n e c t c o n f i r m ) 。此建立过程，即完成了对等实体的认证过程。在具体实现时， s a i - s e r v i c ep r i m i t i v e s 要映射为s a s e r v i c ep r i m i t i v e 。具体的连 图1 2 连接建立过程 f i g u r e1 - 2c o n n e c t i o ns e t u pp r o c e d u r e 接建立过程如图1 - 2 表示。 1 ) 收到安全建立的请求后，安全层启动连接建立定时器，并开始“对等实体 认证”过程，通过t - c o n n e c tr e q u e s t 发送第一个认证消息a u ls a p d u 。 2 ) 被叫传输层实体通过t - c o n n e c ti n d i c a t e 将a u ls a p d u 作为用户数据发 送到安全层。 3 ) 如果a u is a p d u 正确，被叫安全层实体将通过t - c o n n e c tr e s p o n s e 发送 第二个认证消息a u 2s a p d u 。 4 ) 主叫传输层实体通过t - c o n n e c tc o n f i r m 将a u 2s a p d u 作为用户数据发送 到安全层。 5 ) 如果a u 2s a p d u 正确，主叫安全层实体将通过t - d a t ar e q u e s t 发送第三 个认证消息a u 3s a p d u 。 6 ) 被叫传输层实体通过t d a t ai n d i c a t i o n 将a u 3s a p d u 作为用户数据发送 3 到安全层。 7 ) 如果a u 3s a p d u 正确，被叫安全层实体向安全应用发送s a c o n n e c t i n d i c a t i o n 。 8 ) 被叫安全应用接收安全连接建立请求，它会通过发送s a - c o n n e c tr e s p o n s e 给与响应。 9 ) 被叫安全层实体通过t _ d a t ar e q u e s t 和t - d a t ai n d i c a t i o n 将认证响应 消息a rs a p d u 发送到主叫的对等安全层实体。 1 0 ) 主叫安全层实体成功接收到这个数据后，会停止计时，并向它的安全用户 发送s a - c o n n e c tc o n f i r m ，通知安全连接已经建立。 1 2 2 安全数据的传输过程 安全连接建立成功之后，就可以进行安全数据传输了。安全数据的传输过程， 也是执行消息来源认证的过程。应用数据交换过程如图3 所示。 黛驰j ：基； o 】 两钉7 一姻 l s a 薹s u b l a y e r 一 s a i d a t 。x i e q u e s t ： s “一d a t a r o a l i p i - r - ) “lr t l la p t l s e rd a l al ：“e n 窖ct y p 亡i i e l d e f i 、 t oa p p h t ；a l i o l ld a t a t la l i ，f 套l v a h t e 矗c q k l e l l c el l u i n t c g 1 ： s e l 。f l ct l t l l l b e l 【 t r i p l el t l t t eq l a t l u ， 一一 l 啪魏i 焉“e , ”c 麓怒：。 图ft t # h n j 4 e | e d e ( c o t h i t e ft , o i l i i f l e ( 。t e c l l l t l t l t l eu e d ) i二 a 1 ) i t b e ! d a i a j | d 加k t _ c o u z m r 。讯l0 ：嚣一a i _ 磁墨笼弼可溉墨弼! 鞠鞠。月m 7 臻翟翟强酲拱疆蚴_ l fr h “k ，( ) kl h 工 1 ) ala 1 - l d t r 辑t l n n s rl ，aia i l l l i r n “o n ，一 n i , ：s u a g et y p ef i e l d l l s h ( 1 a i d i _ _ j ic a ”l l ，e i a t al i 垒j 亡a 譬e 强p ci i e l d s e q u e n c tn l i n l e r i ) - s e n l c l i o ct t t u l l b e ! ple-inxe j t n n l l ) 圈 e cc o i t l l t e t 。( c q l l yi f q ， t 、， ，i e ( 二i i 亡1 ) a pi l s e i f 1 3 f a 锻l n “j “，? z ： r ： o 妇 ：8 o # e o 孰 “1 4 0 t 杜b # 珐 一。 ：一 1 0 l 嚣0 “。骑 l 惦r 玉口。赫，越群? l 5 。3 。1 5 4 ! f 证s a c e p i d ( 安全连接终节点标识符) ，为应用数据添加首部，构成s au s e rd a t a ， 并使用s a d a t ar e q u e s t 将应用数据传给e rs l 。e rs l 收到应用数据后，通过 s a - d a t ai n d i c a t i o n 将其发送到s a i 子层。s a i 对数据检查首部，如果正确，就 通过s a i d a t ai n d i c a t i o n 将数据传递到应用层。检查处错误时对首部不同参数 出现错误时的处理方法是不一样的。 1 2 3 安全连接的解除过程 d e r i c , ebd e v i c e a l e | a s i 蚍s o n n e c r d i s c o 黼c t 口喊 “ 。撇l 尹妇3 ” - 4 安全连接解除过程 g u r e1 4s f e t yc n n e c t i o nr l e a s ep o c e d u r e 3c c s 3 系统通信安全性分析 的c t c s 一3 数据传输网络仍然存在一些安全隐患： ) 采用无线网络作为承载网络，开放的空中接口对c t c s - 3 无线数据传输安 提出更高的要求。同时空中接口的开发性给数据传输带来重放( 旧消 和插入( 新的虚假消息) 、修改、伪装、故意干扰( 干扰无线接收) 塞等方面的影响。 ) 车载用户和其他用户存在着无线资源竞争关系，由于g s m - r 系统中拥有 l l p p 功能，在一定程度上保证了车载用户能够优先、及时地获取无线资 但是仍然存在着某些用户在授权的范围内不合理的、长期的占用资源， 统带来干扰、降低系统资源利用率，对c t c s - 3 系统高效、安全运行 定影响。 ) c t c s 一3 数据传输所采用的d e s 算法存在着弱密钥、密钥互补性、密钥长度 太短、s 一盒设计等方面的安全隐患n 1 。而且在1 9 9 3 年，花费1 0 0 万美元建 造的穷举破译机平均3 5 小时就能完成对d e s 的穷举攻击。随着计算能力 的提高，d e s 算法的安全隐患对c t c s - 3 安全构成较大的影响。 通过上面的分析，我们可以知道现有的c t c s 一3 系统采用安全协议栈即双向认 证流程可以解决g s m - r 网络单向认证的问题，提高的系统的安全性，但这主要依 赖于c t c s - 3 系统所采用的d e s 加密算法抗攻击能力。因此，然而d e s 存在弱密钥 等方面的安全隐患，因此引入性能更好的加密算法，有助于提高c t c s 一3 系统的通 信安全。 1 4 a e s 算法与d e s 算法比较 a e s 算法与d e s 算法的区别阳1 主要如下： 表1 - 1a e s 算法与d e s 算法区别比较 d e sa e s 加密单元长度仅6 4 位二进制，其中部分比支持可变分组长度，分组长度 特位要用于奇偶校验和其他可以设为3 2 比特的任意倍数， 通信开销，因此对于数据传输最小值为1 2 8 比特，最火值为 太小。2 5 6 比特。 密钥长度密钥长度太短，仅5 6 比特。 a e s 密钥长度比d e s 大，可以设 而且每次迭代使用的密钥是定为3 2 比特的任意倍数。用穷 递推产生的，这会降低密码体举法使用p c 在短时间内内，密 制的安全性。钥不可破解 差分、线性不能对抗差分和线性密码分a e s 算法的设计策略是宽轨迹 密码分析析 策略( w t s ) w t s 是针对差分分 析和线性分析提出的。 1 5 本论文研究内容和目的 正如前文所述，现行c t c s 一3 系统所采用的d e s 算法存在存在弱密钥等方面的 安全隐患，应用a e s 算法来增强c t c s 一3 系统的安全性研究具有现实意义和实用价 值。 本文创新点介绍如下： ( 1 )结合a e s 对偶密码特点和在g f ( 2 2 ) 上计算g f ( 2 8 ) 元素的逆两个基本理 论，设计的新的s u b b y t e 变换。经验证，其加密解密路径的时延和x o r 门的 6 个数均比现有其他方案优越，从而降低了a e s 算法实现的复杂度。 ( 2 )为了解决a e ss 盒的循环迭代周期短的缺点，采用交换真值表部分元 素位置，设计循环迭代周期为2 5 6 的新a e ss 盒。其后，对新a e ss 盒的秘 密特性进行验证，发现新的a e ss 盒密码特性没有降低。 ( 3 ) 为了更好的采用数学方法分析a e ss 盒，需要求得s 盒的代数表达式。 结合有限域里运算特性，简化有限域上拉格朗日差值公式，进而根据s 盒的 真值表更加快速准确地求出其代数表达式。 本论文研究内容： 第一章引言。概要的介绍了c t c s - 3 安全通信，分析总结了c t c s 一3 传输网络 以及自身的安全隐患，指出d e s 算法的安全性是保障c t c s 一3 系统安全的重要条件 之一。对比d e s 算法，论述了a e s 算法的优越性以及研究c t c s 一3 系统中a e s 的研 究意义。 第二章a e s 算法原理介绍与软件实现。本章详细介绍a e s 算法的特点、各个 步骤。 第三章a e s 算法实现优化研究。本章主要研究如何在满足密码要求的前提下， 尽可能地降低算法实现的复杂度。首先，结合a e s 算法软件实现模块图，软件实 现a e s 算法。其次，考虑到加密解密模块的相关性，因此实现a e s 加密模块集成 共用。同时，比较在有限域上求逆的3 种不同的方法，分析总结了3 种求逆方法 的适用范围。利用有限域扩张思想求同构域的逆过程中，分析和实现了有限域中 同构域的映射求法。最后，引入a e s 对偶密码的概念，结合有限域扩张思想求同 构，重新设计了s u b b y t e 环节，进而降低了算法实现的复杂度。 第四章a e ss 盒分析与优化。本章首先讨论了a e ss 盒的马尔可夫性，指出s 盒2 5 6 个状态可以划分为5 个常返态闭集，其迭代循环周期均不是2 5 6 。其次讨论 了两种求迭代循环周期为2 5 6 的a e ss 盒：穷举法和简易求法。穷举法结合状态 循环出现特性进行筛选，减小运算量。但是穷举法运算量仍然较大，而且对编程 要求较高。简易求法是基于对现有的s 盒分析，通过将交换s 盒真值表部分元素， 从而改变s 盒的迭代循环周期。简易求法不用求出所有迭代循环周期为2 5 6 的s 盒，运算量较小。第三结合有限域g f ( 2 8 ) 上的性质，简化拉格朗日差值公式，进 而更快速的求出优化后s 盒的代数表达式。最后对优化后的s 盒进行雪崩测试和 差分测试密码特性分析可知，优化后的s 盒密码特性没有改变。 7 2a e s 算法原理介绍 2 1a e s 算法简介 a e s 算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数 据单元替换为另一个。a e s 使用几种不同的方法来执行排列和置换运算。a e s 是一 个迭代的、对称密钥分组的密码，它可以使用1 2 8 、1 9 2 和2 5 6 位密钥，并且用1 2 8 位( 1 6 字节) 分组加密和解密数据。与公共密钥加密使用密钥对不同，对称密钥 密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输 入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。 2 2a e s 算法详细描述 a e s 的输入输出可以看做8 位字节的一维数组。对加密来说，其输入是一个 明文分组和一个密钥，输出是一个密文分组。对解密而言，输入是一个密文分组 和一个密钥，而输出是一个明文分组旷h 1 。 a e s 的轮变换及其每一步均作用在中间结果上，我们将该中间结果称为状态 ( s t a t e ) 。状态可以形象地表示为一个矩形的字节数组，该数组共有4 行。状态中 的列数记为坼，它等于分组长度除以3 2 将明文分组记为p o p l p 2 p 3 p 4 ，其中， p o 表示第一个字节，p 4 n b q 表示明文分组的最后一个字节。类似地，将密文分组记 为c o c 。c ：c 3 ，将状态记为q 0 f 4 , 0 s j m 。这里“，表示位于第i 行第j 列 的字节。输入字节依次映射到状态字节口o ，o 口i ，o 口2 o ，口3 ，o ，口o l 口i l 口2 l ，口3 1 一上。当加 密时，输入是一个明文分组，映射是口l ，j 2 p ，0 f 4 ，0 m 。当解密时，输 入是一个密文分组，映射是q 2q + ，o i 4 ，0 j m 。在加密结束时，密文分 组以相同的顺序从状态字节中取出q 2 q m o d 4 ，4 ，us 7 4 n b 。在解密结束时，明文 分组按一下顺序从状态中得到p t 2 a ，m o d 4 ，1 4 ，u 4 n b 。 类似地，密钥被映射到两维密码密钥上。密码密钥可以形象地表示为一个与 状态类似的矩形数组，该数组也有4 行。密码密钥的列数记为n k ，它等于密钥长 度除以3 2 密钥的各字节被依次映射到密码密钥的各字节上： ，o q o ，庀2 ，o ，岛，o ，l ，庀2 1 岛 1 一。如果将密钥记为z o z l z 2 2 3 z 4 * n 1 一一，那么 k f ，= z ，+ 4 1 , 0 f 4 , 0 j m 状态与密码密钥的表以及明文一状态与密钥一密码密钥的映射，如表2 - 1 所示： 8 表2 - 1 明文一状态的映射 p op 4p 8p 1 2 p lp 5p 9p 1 3 p 2p 6p 1 0p 1 4 p 3p 7p 1 1p 1 5 表2 - 2 密钥一密码密钥的映射 k ok 4k 8k 1 2k 1 6k 2 0 k lk 5k 9k 1 3k 1 7k 2 l k 2k 6k 1 0k 1 4k 1 8k 2 2 k 3k 7k 1 1k 1 5k 2 0k 2 3 a e s 的加密过程包括一个初始密钥加法，记作a d d r o u n d k e y 。接着进行n r 一1 次 轮变换r o u n d ，最后再使用一个轮变换f i n a l r o u n d 。初始的密钥加法和每个轮变换 均以状态s t a t e 和一个轮密钥作为输入。第i 轮的轮密钥记为e x p a n d e d k e y i ， 初始密钥加法的输入记e x p a n d e d k e y 0 。从c i p h e r k e y 导出e x p a n d e d k e y 的过程 记为k e y e x p a n s i o n 。a e s 的伪c 符号描述如下： a e s ( s t a t e ，c i p h e r k e y ) k e y e x p a n s i o n ( c i p h e r k e y ，e x p a n d e d k e y ) ： a d d r o u n d k e y ( s t a t e 。e x p a n d e d k e y o ) ： f o r ( i = l ：i n r ：i + + ) r o u n d ( s t a t e ，e x p a n d e d k e y i ) ： f i n a l r o u n d ( s t a t e ，e x p a n d e d k e y n r ) ： 2 2 1 轮变换r o u n d 轮变换r o u n d 的4 个变换组成，其中的每个变换称为步骤，如列表所示。该 密码的最后一轮f i n a l r o u n d 稍有不同。在这个列表中，变换 ( r o u n d ，s u b b y t e s ，s h i f t r o w s ，) 作用在指针( s t a t e ，e x p a n d e d k e y i ) 所指 向的数组上。容易验证，若将r o u n d 变换中的m i x c o l u m n s 步骤去掉，则它等价于 f i n a l r o u n d 变换。 a e s 轮变换 r o u n d ( s t a t e ，e x p a n d e d k e y i ) s u b b y t e s ( s t a t e ) ： 9 s h if t r o w s ( s t a t e ) ： m i x c o l u m n s ( s t a t e ) ： a d d r o u n d k e y ( s t a t e 。e x p a n d e d k e y i ) ： ) f i n a l r o u n d ( s t a t e ，e x p a n d e d k e y n r ) s u b b y t e s ( s t a t e s ) ： s h if t r o w s ( s t a t e s ) ： a d d r o u n d k e y ( s t a t e 。e x p a n d e d k e y i3 ) ： ) 2 2 1 1s u b b y t e s 变换 步骤s u b b y t e s 是a e s 密码中唯一的非线性变换。它是一个砖匠置换，该置换 包含一个作用在状态字节上的s 盒，用s r d 表示a e s 中所使用的特定的s 盒。 s u b b y t e s 变换主要包含以下两步： a ) 求出g f ( 2 8 ) 上的逆 b ) 采用如下映射关系求出y m y 2 弘 儿 y s 儿 10o0llll 1 10o01l 1 ll 10ooll 1 1 l lo0o1 1 1 l 1l0oo ol l l 1l0 0 0o1 1 l1 lo 而 五 j c 2 而 五 毛 民 y ，il o00l l lil j lx 7l l o 上述对状态里每个字节的变换用s u b b y t e s ( s t a t e ) 表示。 ii 一1 油。| a 0 o a o ，a oii a nn i 阜o4少 li a 0a 1 a a f lk 。 a i 5 i a 2 。0a 2 。1a 2 2a 23a 24a 2 5 a 30a 318 3 。28 3 ，3a 3 ，4a 3 。5 迤 6 016 n jb i6 。6 05 。l 、 叫6 “ 1 1 6 15 6 1o6 11 l 6 2o6 216 22d 2 3 ) 2 。4 6 2 、5 6 3 o 6 3 16 326 3 36 346 3 ，5 图2 一l 状态字节的s u b b y t e s 变换表示 f i g u r e 2 一lt h ee f f e c to ft h es u b b y t e st r a n s f o r m a t i o no nt h es t a t e 1 0 s u b b y t e s 逆变换( i n v s u b b ”e s ) 通过g f ( 2 8 ) 上求逆来实现。 2 2 1 2 s h i f t r o w 变换 在s h i f t r o w 变换中，状态( s t a t e ) 的每行按照不同的偏移进行循环移位。第0 行不移位。第1 行以c 1 个字节循环移位，第2 行以c 2 个字节循环移位，第3 行 以c 3 个字节循环移位。其中c l ，c 2 ，c 3 的取值取决于n b 。如表2 - 3 所示 表2 - 3 不同长度的循环移位偏移值 f i g u r e2 - 3s h i f to f f s e t sf o rd i f f e r e n tb l o c kl e n g t h s n bc 1c 2c 3 4123 6l23 8134 状态的s h i f t r o w 变换用s h i f t r o w ( s t a t e ) 表示。 卜 m仃o p n os h i f t)m ndd t ifi k c y c l i cs p , l f tb vc 1f l j) ， i i l l 八 def c y c l i cs l t f tb yc 2f 2 ) d e y wx y z c v c n c 州v 事： wx ， 图2 - 4 状态字节的s h i f t r o w 变换表示 f i g u r e2 - 4s h i f t r o wo p e r a t e so nt h er o w so ft h es t a t e s h i f t r o w 的逆变换是状态的1 3 行分别循环移动n b - c 1 ，n b c 2 ，n b c 3 实现。 2 2 1 3 m i x c o l u m n s 变换 在m i x c o l u m n s 变换中，状态的每列被认为是g f ( 2 8 ) 上的多项式。m i x c o l u m n s 变换可以认为状态的列乘以多项式c ( x ) = 0 3 x 3 + o l x 2 + 0 1 z + 0 2 。即 6 0 6 l 也 吃 0 20 30 lo l 0 10 20 30 1 0 10 10 20 3 0 30 10 10 1 q 口2 口3 状态的m i x c o l u m n s 变换用m i x c o l u m n s ( s t a t e ) 表示 a o j a o ，0a o1a 03a o 4a o5 a 1 0a 11a 1 j 汐t 1 , 4 。 一 c ( x ) a 15 毫， j a 2 0 昌21 a 2 j a 23a 2 4a 25 a 3 o日3 1 a 3 。3 a 3 ，4a 3 ，5 a 3 j b oob o 1 6 0 ，j b o 3b o4 b o 5 瓠乜b l ，jb ，3b 145 1 , 5 b 2 。b 2 1 b 2 、3b 2 4b 2 5 b 3 ob 31b 33 b 3 4 b 3 5 6 3 j 图2 - 5 状态字节的m i x c o l u m n s 变换表示 f i g u r e2 。5m i x c o l u m n so p e r a t e so nt h ec o l u m n so ft h es t a t e s 2 2 2 a d d r o u n d k e y 在本环节中，将k e y 表( k e ys c h e d u l e ) 与状态s t a t e 按字节异或。 a ：0 8 ，+ a 02 a 0 ；量0 口05 日 a t 日- , 2茸3 a ： a - 8 ：a ：- 毒：2 a 23宣2 屯5 8 3 ：8 l 一 8 2 ： 8 33a 3 a 30 o 珂。， 七。血32k ：j心；sv k 。k 。 “： t 3 七。 膏，。 定2o 2 k 22 k ：3k ：4膏25 七3 ：七3 盘3 ：k j3走34七j 图2 - 6 a d d r o u n d k e y 表示 f ig u r e2 - 66 a d d r o u n d k e y 2 2 3 k e y e x p a n s i o n 密钥扩展 6 。： 6 6 ：23b ：4也5_- b 。6 抗2抗3 6 。 6 ，5v b 2o也，2也3b 2 。也5 6 3 。6 3 。0 32：b 2 6 35 a e s 的密钥扩展目的是用给出的n k 个字节递归生成信息加密锁需要的r k 个密